CVE-2026-4078

Nome do Software Vulnerável e Versões Afetadas Plugin ITERAS para WordPress versões anteriores a 1.8.3

Descrição O Cross-Site Scripting Armazenado é possível através de múltiplos shortcodes: 'iteras-ordering', 'iteras-signup', 'iteras-paywall-login' e 'iteras-selfservice'. O problema decorre da sanitização de entrada e escape de saída insuficientes na função combine attributes(), que concatena valores de atributos de shortcode em código JavaScript dentro de tags <script> usando interpolação de strings com aspas duplas. Atacantes autenticados com nível de acesso Colaborador ou superior podem injetar JavaScript arbitrário ao incluir um caractere de aspas duplas em um valor de atributo de shortcode, permitindo que scripts sejam executados quando um usuário visita a página afetada.

Recomendações Atualize o plugin para uma versão posterior a 1.8.2. Como medida paliativa temporária, restrinja o uso dos shortcodes 'iteras-ordering', 'iteras-signup', 'iteras-paywall-login' e 'iteras-selfservice' apenas a usuários confiáveis.